Non respect de l’obligation de mise en conformité au RGPD : la commune de Kourou sanctionnée par la CNIL

Publié par le dans , | Consulté 71 Fois

par Alban MARCANTONIO, étudiant du Master 2 Droit des médias électroniques

Depuis la mise en œuvre du Règlement Général sur la Protection des Données (RGPD) en 2018, le rôle du Délégué à la Protection des Données (Data Protection Officer) a émergé. Ce rôle est crucial dans une bonne gestion du traitement des données. Le 19 décembre 2023, face à l’oubli de désignation d’un délégué, la Commission National de l’Informatique et des Libertés (CNIL) a décidé, après avertissement, de sanctionner la commune de Kourou en Guyane. Cette ville, reconnue pour l’installation de la base spatiale française, sommet du domaine technologique, ne réussit pourtant pas à se conformer au RGPD quant aux règles de protection des données.

Le RGPD et l’obligation de désigner un Délégué à la Protection des Données

L’article 37 du Règlement Général de la Protection des Données (RGPD) pose l’obligation, sous certaines conditions, de désigner un délégué à la protection des données, aussi nommé DPO (Data Protection Officer). Ce délégué est chargé de s’occuper de la conformité du traitement des données personnelles.

Si l’organisme ou l’autorité est publique, à l’image d’une collectivité territoriale, alors le traitement des données de ce dernier nécessite la désignation d’un DPO, impérativement. Ce principe est énoncé dans l’article 37 du RGPD. Dans le cas d’une collectivité territoriale, sa taille n’est aucunement un critère.

La désignation d’un délégué à la protection des données est également obligatoire lorsque le traitement de données nécessite un suivi régulier et systématique à grande échelle. Cette obligation s’applique à des structures telles que les banques ou les assurances. Cette obligation va également concerner les personnes traitant à grande échelle des données « sensibles ». Parmi ces données dites sensibles, il existe les données de facturations ou les informations fiscales par exemple.

En France, le contrôle de la mise en place de cette règle s’effectue sous l’œil attentif du « gendarme du RGPD ». La Commission Nationale de l’Informatique et des Libertés (CNIL) veille à ce que les entreprises et les administrations respectent les règles du RGPD. La surveillance quant à la désignation effective d’un DPO est effectuée par cette autorité, tout en rappelant l’importance du rôle de ce délégué dans le bon fonctionnement de la gestion de données.

Le RGPD pose également les différents principes définissant le rôle de Délégué à la Protection des Données. Ainsi, un DPO doit réunir 3 conditions : celle de détenir des compétences requises, celle de disposer de moyens suffisants et celle de détenir la capacité d’agir en toute indépendance.

En reprenant le cas de l’obligation de désigner un DPO pour une collectivité, ce dernier permet alors de renseigner et de préciser sur les sujets relatifs à la protection des données. Ainsi, le DPO doit remplir plusieurs missions : répondre aux questions relatives à la protection des données ; s’assurer de la connaissance et de la bonne application des « premiers gestes » ; veiller à la bonne organisation du traitement de données et des demandes d’exercice de ce droit de traitement. En outre, un DPO doit aussi être capable de pouvoir répondre à des précisions demandées par la CNIL. En remplissant son rôle, le DPO permet de protéger la structure qui l’engage face aux attaques informatiques. Ces attaques sont toujours plus nombreuses aujourd’hui, notamment auprès des organismes publics.  

Le Délégué à la Protection des Données voit son rôle précisé par la CNIL concernant sa désignation auprès de collectivités locales. Ainsi, une collectivité peut engager comme délégué un agent interne ou externe, lui-même pouvant être engagé simultanément par d’autres acteurs publics. L’avantage de ce partage pour différentes collectivités est la constatation des enjeux communs et la possibilité d’appliquer des solutions partagées sur des problèmes identiques. Cette solution de mutualisation permet d’anticiper un manque de moyens ou de compétences. Dans le cas précis des collectivités locales, la mise en place d’un établissement public de coopération intercommunale (EPCI) offre l’accès aux services d’un DPO pour plusieurs communes, simultanément. Dès juin 2021, la CNIL a décidé de cibler les communes de plus de 20 000 habitants pour alerter celles qui n’avaient toujours pas désigné de DPO. C’est dans ce contexte d’alerte et de surveillance que les premières mises en demeure à la désignation de DPO ont été prononcées auprès des différentes communes qui ne remplissent pas l’obligation du RGPD.

La compétence de la CNIL quant à la prononciation de sanctions pour manquement à l’obligation de désignation

La CNIL est l’autorité française compétente en matière de sanction envers les responsables de traitement de données en cas de non-respect des textes. Un rappel est effectué dans l’article 31 du RGPD sur la « coopération avec l’autorité de contrôle ». Cet article indique que l’autorité de contrôle, ici la CNIL, peut demander la coopération avec les différents responsables et représentants d’un traitement. Il existe deux procédures de la CNIL pouvant aboutir sur une sanction : la procédure ordinaire et la procédure simple.

La procédure ordinaire permet de prononcer des sanctions pécuniaires sur le fondement du RGPD. Cette sanction peut atteindre les 20 millions d’euros. Mais dans le cas d’une entreprise, cette sanction peut représenter jusqu’à 4% de son chiffre d’affaires annuel mondial. Par cette procédure, la CNIL peut également rendre cette sanction publique. Cependant, avant de prononcer de telles sanctions et dès l’instant que la CNIL connait un manquement au RGPD, elle peut : « prononcer un rappel à l’ordre » ; enjoindre de mettre le traitement en conformité y compris sous astreinte » ; « limiter temporairement ou définitivement un traitement » ; « suspendre les flux de données » ; « ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte » et ensuite « prononcer une amende administrative ».

La procédure simplifiée peut également amener à des sanctions. Ces sanctions sont prévues par la Loi Informatique et Libertés (LIL). Elles sont moins sévères que celles prononcées par la procédure ordinaire et ne peuvent pas être rendues publiques. Ainsi, il peut être prononcé un rappel à l’ordre et l’ordonnance de mise en conformité du traitement. Pour cette dernière sanction, elle peut être suppléée par une astreinte avec une sanction pécuniaire de 100 euros maximum par jour de retard. Enfin, en guise de sanction pécuniaire, il existe la prononciation d’une amende administrative d’un montant maximal de 20 000 euros.

La sanction du 12 décembre 2023, concernant la commune de Kourou et son manquement sur la désignation d’un DPO, découle d’un long processus. Ainsi, en 2021, la CNIL alerte les communes de plus de 20 000 habitants sans DPO. Mais le 25 avril 2022, la CNIL rend un rapport pointant 22 communes mises en demeure de désigner un DPO. La présidente de la CNIL donne 4 mois à ces communes pour être conformes au RGPD. Dans cette liste, sont mentionnées des communes métropolitaines et d’outre-mer comme Bastia, Auch, Vitry-sur-Seine et Kourou en Guyane.

Pour le cas de Kourou, une première absence de réponse et de mise en conformité au RGPD après cette mise en demeure oblige la présidence de la CNIL à saisir sa formation retreinte et à prononcer une sanction par procédure simplifiée. En février 2023, la commune de Kourou se voit alors infliger une amende de 5 000 euros et une injonction de désigner un délégué sous 3 mois.  

En décembre 2023, après une nouvelle absence de réponse et un nouveau manquement à l’obligation de mise en conformité, la CNIL, dans sa formation restreinte, va engager une procédure ordinaire de sanction. Ainsi, cette ville d’outre-mer reçoit une nouvelle amende de 5 000 euros et une injonction de désigner un délégué sous 2 mois. Une amende de 150 euros par jour de retard sera adressée à la différence de la première injonction. Enfin, au vu de l’importance du rôle d’un DPO et des conséquences liées à son absence pour les administrés et les acteurs publics travaillant en collaboration avec cette commune, la CNIL a jugé bon de rendre publique cette décision et d’en informer les usagers. La commune est donc obligée d’afficher cette décision sur son site web.  

Sources :